防火墙配置培训教材.pptx

《防火墙配置培训教材.pptx》由会员分享，可在线阅读，更多相关《防火墙配置培训教材.pptx（66页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第八章节第八章节透明模式透明模式 什么是透明模式什么是透明模式什么是透明模式什么是透明模式什么是透明模式什么是透明模式防火墙工作于透明模式的时候不需要修改原有的网络中的路由和主机配置防火墙工作在透明模式时同样可以实现所有的功能（如包过滤、代理、等），毫不损失任何功能及性能阿姆瑞特F 系列防火墙的透明工作模式基于 技术 代理代理路由器一端那些不知道已经划分了子网的主机试图直接将路由器一端那些不知道已经划分了子网的主机试图直接将数据发送给目标主机，而目标主机位于路由器的另外一侧，数据发送给目标主机，而目标主机位于路由器的另外一侧，源主机发出一个源主机发出一个 请求来查询目标主机的请求来查询目标主机

2、的 地址，我们知道，地址，我们知道，目标主机不会做出响应，因为它根本不会收到请求信息，目标主机不会做出响应，因为它根本不会收到请求信息，所以通信就无法完成了。具有所以通信就无法完成了。具有 功能的路由器（或者是其它功能的路由器（或者是其它网络设备）可以代替另外一端的主机用自己的网络设备）可以代替另外一端的主机用自己的 地址去响应地址去响应那样的那样的 请求，接着源主机将数据发送给路由器，然后路由请求，接着源主机将数据发送给路由器，然后路由器再将数据包转发出去。器再将数据包转发出去。地址解析协议地址解析协议地址解析协议地址解析协议 172.16.3.1:172.16.3.2:0800.0020.

3、2222172.16.3.2:172.16.3.2=?哦，我收到了你的请求，哦，我收到了你的请求，在我发给你的信息里有我在我发给你的信息里有我的的MAC地址地址我需要知道我需要知道IP地址地址是是176.16.3.2 的的MAC地址地址:172.16.3.2对应的:0800.0020.2222:172.16.3.1对应的:0800.0020.1111:172.16.3.1:0800.0020.1111:172.16.3.2:0800.0020.2222透明接入原理透明接入原理透明接入原理透明接入原理:172.16.3.2对应的:0800.0020.2222:172.16.3.1对应的:0800

4、.0020.1111:172.16.3.1:0800.0020.1111:172.16.3.2:0800.0020.2222:172.16.2.2:0800.0200.3333:172.16.3.3:172.16.2.1:0800.0200.4444:172.16.3.2对应的:0800.0020.3333:172.16.3.1对应的:0800.0020.4444 配置防火墙简单配置防火墙简单配置防火墙简单配置防火墙简单示例示例示例示例InternetInternet194.1.2.1194.1.2.1192.168.123.1192.168.123.1 192.168.123.0/24 19

5、2.168.123.0/24InternetInternet194.1.2.1194.1.2.1192.168.123.1192.168.123.1 192.168.123.0/24 192.168.123.0/24 定义主机和网络定义主机和网络定义主机和网络定义主机和网络定义主机和网络定义主机和网络增加相应的主机和网络增加相应的主机和网络第一条，第二条定义防火墙内口的地址以及广播地址第一条，第二条定义防火墙内口的地址以及广播地址第三条，第四条定义防火墙外口的地址以及广播地址第三条，第四条定义防火墙外口的地址以及广播地址第五条定义内网网段第五条定义内网网段第六条定义管理网段第六条定义管理网段第

6、七条定义默认网关第七条定义默认网关192.168.123.2192.168.123.255192.168.123.3192.168.123.255 定义路由规则定义路由规则定义路由规则定义路由规则定义路由规则定义路由规则增加相应的路由规则增加相应的路由规则第一条规则定义了到管理网络的路由（为了不占用地址，防火墙内口使第一条规则定义了到管理网络的路由（为了不占用地址，防火墙内口使用了不同网段的地址）用了不同网段的地址）第二条规则定义了到内部网络的路由，同时通过防火墙的外部网口第二条规则定义了到内部网络的路由，同时通过防火墙的外部网口 内内部网络部网络(192.168.123.0/24)上所有主机

7、的上所有主机的 地址。地址。第三条规则定义了到网关的路由，同时通过防火墙的内部网口第三条规则定义了到网关的路由，同时通过防火墙的内部网口 网关网关(192.168.123.1/32)的的 地址到内部网络。地址到内部网络。第四条规则定义了防火墙的缺省路由。第四条规则定义了防火墙的缺省路由。DMZ 制定过滤规则制定过滤规则制定过滤规则制定过滤规则制定过滤规则制定过滤规则增加相应的过滤规则增加相应的过滤规则第一条规则删除了所有第一条规则删除了所有 数据包数据包第二条规则允许管理网络上的所有主机向防火墙发送第二条规则允许管理网络上的所有主机向防火墙发送 ()数据包数据包第三条规则允许内部网络上的主机和

8、上的主机进行通讯第三条规则允许内部网络上的主机和上的主机进行通讯第四条规则删除所有的数据包并对其进行记录第四条规则删除所有的数据包并对其进行记录u试验九：用户可以提供试验九：用户可以提供2个可用的个可用的地址地址u试验十：用户可以提供试验十：用户可以提供1个可用的个可用的地址地址u试验十一：用户无法提供可用的试验十一：用户无法提供可用的地址地址第九章节第九章节 混合模式混合模式混合模式混合模式总体描叙：总体描叙：网络中存在两类网络中存在两类 地址。一种是公网。一种是私有地址。一种是公网。一种是私有,因此需要将因此需要将防火墙工作在透明和路由防火墙工作在透明和路由 模式下。模式下。防火墙模式混合

9、拓扑图防火墙模式混合拓扑图防火墙模式混合拓扑图服务器服务器internet172.30.15.0/24:172.16.20.140:172.30.15.1172.16.20.20:172.16.20.205混合模式（一）混合模式（一）防火墙模式混合防火墙模式混合 透明透明 路由路由 主机和网络主机和网络路由路由 过滤规则过滤规则DMZEXTAll-netscompaqHttp-inAny_Allow_DMZ规则说明规则说明第四条规则第四条规则 内部区域连接到经过内部区域连接到经过 模式。模式。第六条规则第六条规则 区域连接到区域连接到 经过透明模式。经过透明模式。接口模式混合拓扑图接口模式混合

10、拓扑图InternetInternet192.168.0.0/24:172.16.20.200:192.168.0.1172.16.20.150172.16.20.170:172.16.20.20:172.16.20.149混合模式（二）混合模式（二）端口模式混合端口模式混合 即做透明又做地址翻译。即做透明又做地址翻译。内网和外网即有公网内网和外网即有公网.又有私有又有私有.这就是所谓的端口模式混这就是所谓的端口模式混合。合。1.在内网的公网在内网的公网 经过透明出去。经过透明出去。(双向双向)2.在内网的私有在内网的私有 经过经过 出去出去.(单向单向)接口模式混合接口模式混合主机和网络主机

11、和网络绑定路由路由过滤规则过滤规则u 试验十二：防火墙混合模式试验十二：防火墙混合模式u 试验十三：接口混合模式试验十三：接口混合模式第十章节第十章节:预共享密钥式的预共享密钥式的配置配置 隧道隧道InternetInternetLan5:1.1.1.10Lan5:2.2.2.10Lan1:172.30.15.1Lan1:192.168.0.1172.30.15.5172.30.15.6192.168.0.5192.168.0.6 开始配置预共享密钥开始配置预共享密钥 A 隧道隧道 隧道隧道远程远程 防火墙配置防火墙配置 :192.168.0.0/24 :172.30.15.0/24 :1.1

12、.1.10 预共享密钥预共享密钥 隧道隧道 总结总结 a 路由表的要求路由表的要求 8.2 8.2 需要什么样的规则需要什么样的规则 监控监控 :1 :172.30.15.0/24 :2.2.2.10 :1-962 :192.168.0.0/24 :1.1.1.10 :1-96u 试验十四：共享密钥的配置试验十四：共享密钥的配置u 第十一章第十一章 客户端软件客户端软件 如何工作如何工作?InternetInternet 172.30.15.1005:1.1.1.101:192.168.0.1192.168.0.100 A 开始开始 ,3 创建一个预共享密钥创建一个预共享密钥添加新的添加新的

13、连接连接 添加远程网络添加远程网络 举例如下举例如下添加添加添加添加添加添加 举例举例举例举例举例举例加密算法加密算法 第十二章实现阿姆瑞特防火墙的第十二章实现阿姆瑞特防火墙的第十二章实现阿姆瑞特防火墙的第十二章实现阿姆瑞特防火墙的功能功能功能功能 实验机型：实验机型：300300内核版本：内核版本：8.40.018.40.01拓扑环境描述拓扑环境描述InternetSiSi计算机计算机计算机计算机计算机计算机计算机计算机Net_LAN-01:192.168.1.0/24Net_LAN-02:192.168.2.0/24IP_LAN-R:10.10.10.2/30GW_Internal:10.

14、10.10.1/30IP_WAN-Telcom:218.10.0.2/29IP_WAN-CNC:64.134.0.2/29GW_World-Telcom:218.10.0.1/29GW_World-CNC:64.134.0.1/29实验环境描述：实验环境描述：网络有两个出口，分别是中国电信和中国网通，都网络有两个出口，分别是中国电信和中国网通，都可以接入因特网可以接入因特网内网有多个子网，由三层交换接入防火墙内网有多个子网，由三层交换接入防火墙1接口接口防火墙接口定义：防火墙接口定义：1接内网，连接三层交换机，地址为：接内网，连接三层交换机，地址为：10.10.10.2/30，内部网关为：，内

15、部网关为：10.10.10.1/302接中国电信接中国电信 :218.10.0.1/29接口地址为：接口地址为：:218.10.0.2/293接中国电信接中国电信 :64.134.0.1/29接口地址为：接口地址为：:64.134.0.2/29实验达到的目的：实验达到的目的：使用，使内网中使用，使内网中192.168.1.0/24网络的计算机从中国电网络的计算机从中国电信信出去上网，出去上网，使内网使内网192.168.2.0/24网络从网络从中国网通出去上网中国网通出去上网拓扑环境描述和目的拓扑环境描述和目的建立网络对象：建立网络对象：在在“局部对象局部对象”-”-“主机和网络主机和网络”中

16、定义网络拓中定义网络拓扑中出现的所有对象，命名策略必须遵照扑中出现的所有对象，命名策略必须遵照“阿姆瑞特命名规范阿姆瑞特命名规范”防火墙配置防火墙配置 第一步第一步防火墙配置防火墙配置防火墙配置 第一步第一步第一步建立网络对象：建立网络对象：检查检查“局部对象局部对象”-”-“主机和网络主机和网络”中定义网络中定义网络拓扑中出现的所有对象拓扑中出现的所有对象定义电信接口2 的地址,以及电信分配的接口2 所连接网络的广播地址和网络地址；的电信网关地址：定义内网接口1 的地址（1 下联三层设备）,以及内网接口1 所连接网络的广播地址和网络地址；网关地址：定义网通接口3 的地址,以及网通分配的接口3

17、 所连接网络的广播地址和网络地址；的网通网关地址：定义内网接口三层设备（）所连接的网络,并将连接的网络01和02 组合成为一个组配置置接口的地址和所连接网络的广播地址：配置置接口的地址和所连接网络的广播地址：在在“网络接口网络接口”-“以太网以太网”里确定地址和广播地址的绑定里确定地址和广播地址的绑定防火墙配置防火墙配置 第二步第二步 防火墙配置防火墙配置 第二步第二步配置接口速度和双工模式：配置接口速度和双工模式：在在“网络接口网络接口”-“以太网以太网”里配置里配置相应接口的速度和双工模式相应接口的速度和双工模式添加和配置主路由：添加和配置主路由：在在“路由设置路由设置”-“主路由表主路由

18、表”里添加和设里添加和设置路由置路由防火墙配置防火墙配置 第三步第三步防火墙配置防火墙配置 第三步第三步确定在确定在“主路由表主路由表”里添加和配置的主路由的顺序里添加和配置的主路由的顺序4、检查内网接口1直连三层设备的路由7、检查网通接口3 直连网络的直接路由9、检查电信接口2 的缺省路由设置（必须放在最后）1、检查管理接口5直连网络的直接路由5、内网接口1通过三层设备到达。8、检查电信接口2 直连网络的直接路由添加和配置策略路由：添加和配置策略路由：在在“路由设置路由设置”-“基于策略的路由表基于策略的路由表”里添加和设置策略路由里添加和设置策略路由防火墙配置防火墙配置 第三步第三步-表示

19、首先要查询主路由表。如果只有表示首先要查询主路由表。如果只有缺省路由缺省路由(0.0.0.0/0)匹配，则查匹配，则查询命名路由表。如果在命名路由询命名路由表。如果在命名路由表的查询失败，就认为整个查询表的查询失败，就认为整个查询失败了。失败了。-表示首先要查询的命名路由表。如果表示首先要查询的命名路由表。如果查询失败，则在主路由表里继续查询失败，则在主路由表里继续查询。查询。防火墙配置防火墙配置 第三步第三步添加和配置策略路由：添加和配置策略路由：在在“路由设置路由设置”-“基于策略的路由规基于策略的路由规则则”里添加和设置策略路由的规则里添加和设置策略路由的规则注意：只有基于策略的路由注意

20、：只有基于策略的路由规则与过滤规则匹配时，才规则与过滤规则匹配时，才会激活策略路由，就是说在会激活策略路由，就是说在过滤规则里也需要有和策略过滤规则里也需要有和策略路由规则相同的规则才行。路由规则相同的规则才行。目标的接口地址必须选择目标的接口地址必须选择选择选择，绝对不可以选择策，绝对不可以选择策略路由里的接口略路由里的接口Net_lan-02Net_lan-0202添加出口的规则配置过滤规则：配置过滤规则：在在“过滤规则过滤规则”里设置访问控制规则，规则的里设置访问控制规则，规则的设计是根据客户的需求来定义的，且规则的建立必须在设计是根据客户的需求来定义的，且规则的建立必须在“”规则之上规

21、则之上防火墙配置防火墙配置 第四步第四步第第1步步新建规则：右键单击新建规则：右键单击“”，选择，选择“”,规则名称必须遵照规则名称必须遵照“阿姆瑞特命名规范阿姆瑞特命名规范”，按照设计思路定义源接口、源网络、目标接口和目，按照设计思路定义源接口、源网络、目标接口和目标网络标网络设置过滤规则设置过滤规则 第第1 1步步Net_lan-02any第第2步步设置服务：根据客户需求打开相应的服务，不确定的用设置服务：根据客户需求打开相应的服务，不确定的用“标准标准”，基于安全考虑，服务器只需要对外开放，基于安全考虑，服务器只需要对外开放80端口就可以。端口就可以。设置过滤规则设置过滤规则 第第2 2

22、步步第第3步步 设置日志记录方式：设置日志记录方式：根据客户需求打开或关闭此条规则的日根据客户需求打开或关闭此条规则的日志记录，不确定的志记录，不确定的“程度程度”选择选择“”；“日志服务器日志服务器”选择选择“”设置过滤规则设置过滤规则 第第3 3步步第第4步步确定规则设置顺序，完成后的过滤规则如下图确定规则设置顺序，完成后的过滤规则如下图设置过滤规则设置过滤规则 第第4 4步步1、丢弃所有的数据包（默认规则）3、允许01通过电信出口 2访问上的服务器4、允许02通过网通出口 3访问上的服务器（必须和策略路由规则一样）9、丢弃所有与上面规则不匹配的数据包（默认规则）注意：阿姆瑞特防火墙的过滤

23、规则是按照由上到小的顺序执行的，所以在设计过滤规则的时候必须注意顺序8、允许管理网络可以防火墙5、允许01通过电信出口 2访问6、允许02通过网通出口 3访问（必须和策略路由规则一样）将配置签入将配置签入:在在“工具栏工具栏”里点击里点击 或如下图，成功后防火墙旁边或如下图，成功后防火墙旁边的小红点将消失的小红点将消失防火墙配置防火墙配置防火墙配置 第五步第五步第五步将配置上传到防火墙并激活：将配置上传到防火墙并激活：在在“工具栏工具栏”里点击里点击 或或 ，选择需要配置的防火墙选择需要配置的防火墙防火墙配置防火墙配置防火墙配置 第六步第六步第六步 分别在分别在01，02的网络中访问外网，简单的可以做测试，一个外网的网络中访问外网，简单的可以做测试，一个外网的服务器，例如：的服务器，例如：61.134.1.4，并对内网访问的规则进行日志记录，并对内网访问的规则进行日志记录，我们可以抓取实时日志进行分析。我们可以抓取实时日志进行分析。测试测试u 试验十五：配置试验十五：配置u 谢谢 谢谢